漏洞修补
首先第一个:sql注射漏洞
漏洞存在文件:ProductShow.asp
我们发现代码
使用的request()方式获取 id这个参数,然后完全不加过滤就直接提交给数据库。存在很明显的注入漏洞。但是同样的问题我们发现在其他页面也存在。可是其他页面却不存在注入漏洞,而且我从官方下载来的ProductShow.asp文件也同样不存在注入漏洞。到底是怎么回事?一开始还想要去好比赛官方直接拿他那份修改过的。呵呵。后来考虑到是否ProductShow.asp的包含文件中存在的注射漏洞?
比较官方下来的ProductShow.asp和比赛官方服务器上的ProductShow.asp
